BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC DÂN LẬP DUY TÂN
KHOA SAU ĐẠI HỌC
TIỂU LUẬN MÔN HỌC
AN TOÀN THÔNG TIN
Chuyên đề:
MẠNG RIÊNG ẢO
Sinh viên thực hiện: Hoàng Xuân Đăng Cường
Lớp: Cao học Khoa học máy tính khóa 7 - K7MCS
Đà Nẵng, tháng 06 năm 2013
2
LỜI NÓI ĐẦU
Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là sử
dụng một kết nối quay số. Các kết nối RAS dial-up làm việc trên các đường
điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt
vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS,
Tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách
dài cần có cho việc truy cập.
Ngày nay với sự phát triển bùng nổ của mạng và ngày càng được mở rộng
Internet, việc kiểm soát trở nên khó khăn và kèm theo đó là sự mất an toàn
trong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng
có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp,
Ngân hàng, Công ty … và các doanh nhân lo ngại về vấn đề an toàn và bảo
mật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thông
tin qua mạng công cộng Internet.
VPN (Virtual Private Network) là giải pháp được đưa ra để cung cấp một
giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao
đổi thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an
toàn và bảo mật. Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu
được chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn
cầu).

HÌNH 1.9 Khung dữ liệu ESP 18
HÌNH 1.10 Cơ chế truyền tải (Transport Mode) 19
HÌNH 1.11 Phương thức đóng gói transport mode 19
HÌNH 1.12 Phương thức đóng gói tunnel mode 20
HÌNH 1.13 Kết hợp an ninh SA 21
HÌNH 1.14 Năm bước hoạt động của IPSEC 22
HÌNH 1.16 Các kết hợp an ninh 26
HÌNH 1.17 Đường ngầm IPSEC được thiết lập 27
HÌNH 1.19 Mô hình Peer-to-peer VPN sử dụng router dành riêng 30
3
MỤC LỤC
4
1. Mạng riêng ảo
1.1. Giới thiệu chung – Quá trình phát triển của VPN
Ngày nay kết nối các mạng máy tính trong một tổ chức, doanh nghiệp với
nhau là một xu thế tất yếu để nâng cao quá trình trao đổi thông tin và điều
hành sản xuất. Các phương án truyền thông nhanh, an toàn và tin cậy đang
trở thành mối quan tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổ
chức có các địa điểm phân tán về mặt vật lý, công ty đa quốc gia. Giải pháp
thông thường được áp dụng bởi đa số các công ty này là thuê các đường
truyền riêng (Leased Lines, Frame Relay, ATM) để duy trì một mạng WAN
(Wide Area Network). Mỗi mạng WAN đều có các điểm thuận lợi hơn so với
mạng công cộng khi xét đến độ tin cậy, hiệu năng và tính an toàn, bảo mật.
Tuy nhiên để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền
riêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi công ty muốn
mở rộng thêm các văn phòng đại diện.
Mạng riêng ảo VPN (Virtual Private Network) chính là một giải pháp cho
vấn đề này. VPN có thể đáp ứng các nhu cầu của các tổ chức, doanh nghiệp
bằng các kết nối dạng any-to-any, các lớp đa dịch vụ, các dịch vụ có giá thành
quản lý thấp, riêng tư, tích hợp xuyên suốt cùng với các mạng Intranet hoặc

có thể không chỉ dành riêng cho công ty đó mà chia sẻ dùng chung với các
công ty khác (môi trường mạng chia sẻ). Hoặc các phương tiện cần thiết dể
xây dựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông.
Các công ty sử dụng mạng VPN gọi là các khách hàng VPN.
Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quy định
với nhau bởi các chính sách quản lý, quy định cả về kết nối cũng như chất
lượng dịch vụ giữa các site.
Theo định nghĩa của IETF (Internet Engineering Task Force) mạng VPN là
một kiểu mạng diện rộng riêng (Privite WAN) sử dụng mạng đường trục IP
riêng hoặc mạng Internet công cộng (Hình 1.1).
HÌNH 1.1 Mô hình mạng VPN
6
Đơn giản hơn, có thể hiểu mạng VPN là mạng sử dụng mạng công cộng
(như Internet) mà vẫn đảm bảo độ an toàn và chi phí hợp lý trong quá trình kết
nối giữa hai điểm truyền thông. Mạng VPN được xây dựng dựa trên sự trợ
giúp của đường ngầm logic (Tunnel) riêng. Những đường ngầm này cho phép
hai điểm đầu cuối trong mạng trao đổi dữ liệu với nhau thông qua mạng theo
kiểu tương tự như kết nối điểm - điểm.
Mặc dù công nghệ đường ngầm được áp dụng trong phần lõi của mạng
VPN, nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫn được áp
dụng nhằm đảm bảo an toàn cho những thông tin quan trọng của các công ty
khi truyền qua các mạng trung gian. Các kỹ thuật bảo mật bao gồm:
• Encryption – Mã hóa dữ liệu:
Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo một quy
tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống
mã hoá máy tính thuộc về 1 trong 2 loại sau:
o Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
o Mã hoá sử dụng khoá công khai (Public-key encryption)
• Authentication – Xác thực
Authentication là tiến trình đảm bảoo những dữ liệu được phân phát đến

• Giao thức IPSEC
IPSEC được phát triển bởi IETF (Internet Engineering Task Force),
IPSEC là một tiêu chuẩn mở mà vẫn đảm bảo được tính bảo mật và quyền lợi
của người sử dụng trong quá trình truyền thông qua mạng công cộng. Không
giống như các kỹ thật mã hoá khác, IPSEC hoạt động ở lớp mạng (Network
layer) trong mô hình bảy lớp OSI. Do vậy, nó có thể được hoạt động độc lập
với các ứng dụng khác cùng hoạt động trên mạng. Như vậy, mạng vẫn có thể
được bảo mật mà không cần phải thiết lập hay xác định an ninh cho từng ứng
dụng riêng.
• Giao thức PPTP
Giao thức PPTP được phát triển bởi Microsoft, 3 COM và Ascend
communication. Giao thức PPTP được đề xuất như là một giao thức mới có
thể thay thế giao thức IPSEC. Tuy nhiên, IPSEC vẫn tiếp tục là giao thức
đường ngầm được sử dụng nhiều hơn. PPTP hoạt động ở lớp hai, lớp liên kết
dữ liệu (Data Link Layer) trong mô hình phân lớp OSI và sử dụng bảo mật cho
quá trình truyền dẫn của traffic dựa trên nền Windows.
• Giao thức L2TP
Giao thức L2TP được phát triển bởi Cisco, giao thức L2TP cũng có ý
định dùng để thay thế IPSEC. Tuy nhiên, IPSEC vẫn là giao thức có ưu thế trội
hơn trong số các giao thức bảo mật cho truyền thông qua Internet. Giao thức
L2TP là kết quả của quá trình trộn giữa lớp hai chuyển tiếp và giao thức PPTP,
nó sử dụng giao thức điểm tới điểm cho quá trình đóng gói các khung dữ liệu
để truyền qua mạng X.25, FR hoặc ATM.
8
Ngoài các giao thức đường ngầm trên còn một số giao thức nữa như: GRE
(Generic Route Encapsulation, Cisco và IETF), MPLS VPN, SSL VPN (Secure
Socket Layer VPN).
1.4. Phân loại VPN
Hiện nay VPNs đang phát triển theo 2 hướng chính, đó là:
• Remote Access VPNs

Mặc dù có nhiều ưu điểm nhưng Remote Access VPNs cũng những
nhược điểm như:
- Mạng VPN truy nhập từ xa không đảm bảo được chất lượng dịch vụ.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân
phát không đến nơi hoặc mất gói.
- Bởi vì thuật toán mã hoá phức tạp, nên header của các gói tin tăng
một cách đáng kể.
1.4.2. Site to Site VPN (Intranet VPN, Extranet VPN)
1.4.2.1. Intranet VPN
10
HÌNH 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến
Intranet VPNs được sử dụng để liên kết các chi nhánh văn phòng ở xa của
một công ty tới các mạng cục bộ của công ty đó. Đối với mạng cục bộ không
sử dụng công nghệ VPN, mỗi site ở xa kết nối tới mạng cục bộ của công ty
bằng cách sử dụng bộ định tuyến (Router). Khi đó chi phí cho mạng là khá đắt
vì ít nhât phải có 2 router để kết nối 2 site ở xa với mạng cục bộ của công ty.
Hơn nữa, quá trình thực hiện bảo dưỡng và quản trị các kết nối có thể tốn
thêm nhiều chi phí phụ thuộc vào dung lượng, traffic của mạng và phạm vi địa
lí của toàn mạng.
Với giải pháp VPN, những chi phí cho router và các kết nối WAN được thay
thế bởi kết nối chi phí thấp thông qua mạng Internet. Giải pháp VPN có thể
giảm tổng giá thành của toàn thể mạng cục bộ.
HÌNH 1.5 Mô hình Intranet VPN
11
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Tiết kiệm chi phí hơn do không cần phải sử dụng bộ router.
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi ở
xa.
- Bởi vì những kết nối trung gian đựơc thực hiện thông qua mạng
Internet, nên mạng có khả năng mở rộng dễ dàng hơn.

Những ưu điểm chính của Extranet VPNs so với mạng Extranet truyền
thống bao gồm:
- Chi phí cho Extranet VPNs thấp hơn rất nhiều so với mạng truyền
thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt
động
- Các kết nối Internet được bảo trì bởi nhà cung cấp dịch vụ Internet
(ISP), nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy
giảm được chi phí vận hành của toàn mạng.
Tuy nhiên Extranet VPNs cũng có những nhược điểm sau:
- Khả năng bảo mật thông tin, mất dữ liệu vẫn tồn tại.
- Bài toán trong trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa
phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian
thực.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
13
2. Bảo mật trong VPN
2.1. Vấn đề bảo mật trong VPN
Như đã giới thiệu ở mục trên, có ba giao thức đường ngầm thường được
sử dụng trong VPN là:
- Giao thức IPSEC (Internet Protocol Security)
- Giao thức PPTP (Point to Point Tunneling Protocol)
- Giao thức L2TP (Layer 2 Forwarding)
Trong các giao thức đường ngầm nói trên, IPSEC là giải pháp tối ưu về mặt
an toàn dữ liệu. IPSEC hỗ trợ các phương pháp xác thực và mã hoá mạnh
nhất, mà cả L2TP và PPTP đều không có khả năng thực hiện được. Ngoài ra
IPSEC còn có tính linh hoạt cao: Không bị ràng buộc bởi bất cứ thuật toán xác
thực, mã hoá nào, đồng thời có thể sử dụng IPSEC cùng với các giao thức
đường ngầm khác để làm tăng tính an toàn cho hệ thống.
Mặc dù, có nhiều ưu điểm vượt trội so với các giao thức đường ngầm khác

kiến trúc mạng, vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi
các ứng dụng cũng như các hệ thống. Các gói được mã hoá có khuôn dạng
hoàn toàn giống như các gói IP thông thường, nên chúng có thể dễ dàng được
định tuyến thông qua các mạng IP (Như Internet) mà không phải thay đổi các
thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc
triển khai và quản trị.
2.2.2. Khung giao thức IPSEC
IPSEC là khung của các chuẩn mở, nó đảm bảo việc truyền thông an toàn
qua các mạng IP. Dựa trên các chuẩn phát triển bởi IETF, IPSEC đảm bảo
tính bí mật, toàn vẹn và xác thực của dữ liệu khi truyền qua một mạng IP công
cộng.
Hai giao thức chính của IPSEC là AH (Authentication Header) và ESP
(Encaspulating Security Payload):
- AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP
truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có
bị thay đổi trong khi truyền hay không. Tuy nhiên, các dữ liệu đều được
truyền dưới dạng clear text, vì AH không cung cấp khả năng mã hoá dữ
liệu.
- ESP là một giao thức an toàn cho phép mã hoá dữ liệu, xác thực nguồn
gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu. ESP bảo đảm tính bí mật của
thông tin thông qua việc mã hoá ở lớp gói IP. Tất cả các traffic ESP đều
được mã hoá giữa hai hệ thống. Với đặc điểm này xu hướng sẽ sử dụng
ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu.
AH và ESP có thể sử dụng độc lập hoặc kết hợp với nhau. Đối với cả hai
giao thức này, IPSEC không định nghĩa các thuật toán an toàn cụ thể được
sử dụng, mà thay vào đó là một khung chuẩn để sử dụng các thuật toán theo
tiêu chuẩn công nghiệp. Sau đây ta sẽ tìm hiểu kỹ hơn về họat động của AH
và ESP.
15
2.2.2.1. Authentication Header

Bước 2: Xây dựng mã xác thực bằng cách cho gói tin IP đó (ngoại trừ các
trường có giá trị thay đổi như TTL, ToS, ICV) vào hàm băm.
Bước 3: Gói dữ liệu sau khi thêm mã xác thực vào trường ICV được
truyền tới đối tác IPSEC
Bước 4: Bên thu thực hiện quá trình ngược lại. Xây dựng mã xác thực
của gói tin nhận được thông qua hàm băm.
Bước 5: Bên thu tách mã băm trong trường ICV của AH Header.
Bước 6: Bên thu so sánh mã băm mà nó tính được và mã băm tách ra từ
AH Header. Hai mã băm này phải giống nhau hoàn toàn. Nếu dù chỉ
một bit bị thay đổi trong quá trình truyền gói thì hai mã băm sẽ không
giống nhau, bên thu lập tức phát hiện tính không toàn vẹn của dữ liệu.
AH cung cấp dịch vụ xác thực gói tin rất hữu hiệu, tuy nhiên AH không cũng
có những nhược điểm lớn như: AH không cung cấp chức năng mã hóa đồng
thời AH cũng không thể hoạt động được với NAT và PAT (vì các các địa chỉ IP
trong IP header bị thay đổi trong quá trình truyền)
2.2.2.2. Encaspulating Security Payload
ESP ngoài các chức năng của AH còn đảm bảo tính bí mật của dữ liệu qua
chức năng mã hoá. ESP hỗ trợ rất nhiều thuật toán mã hoá đối xứng, trong đó
có DES và 3DES.
ESP có thể được sử dụng độc lập hoặc sử dụng kết hợp với AH. Việc sử
dụng kết hợp ESP và AH cũng cung cấp khả năng đảm bảo toàn vẹn dữ liệu
và xác thực nguồn gốc dữ liệu.
Khung dữ liệu ESP có định dạng như sau:
17
HÌNH 1.9 Khung dữ liệu ESP
Cũng như với AH, gói dữ liệu người dùng tùy thuộc vào cơ chế kết nối
VPN: đường ngầm hay truyền tải. Các trường trong ESP có ý nghĩa như sau:
− Padding: trường này được thêm vào để tránh bị dự đoán nội dung gói
tin theo độ dài, đồng thời cho đủ độ dài block.
− PaddingLength: độ dài trường Padding.

thể giải mã đọc nôi dung gói tinh nếu gói tin VPN sử dụng mã hóa tuy nhiên
vẫn đọc được địa chỉ IP của các bên trao đổi thông tin.
19
Cơ chế đường ngầm (Tunnel Mode)
Một hạn chế của cơ chế truyền tải là nó không thể mở rộng được vì đây là
dạng VPN kết nối thiết bị cuối – thiết bị cuối. Nếu cần kết nối 2 subnet hay 2
segment mạng với nhau, mỗi segment gồm 10 thiết bị thì khi đó số lượng kết
nối VPN là 100 kết nối. Do đó khi có nhiều thiết bị ở các vùng riêng biệt cần kết
nối an toàn với nhau, thay vì sử dụng cơ chế truyền tải, người ta sử dụng cơ
chế đường ngầm. Trong cơ chế đường ngầm, thiết bị nguồn và đích không
làm nhiệm vụ bảo vệ luồng dữ liệu, thay vào đó là một thiết bị trung gian. Ví dụ
trong khi CO và RO cần kết nối an toàn, 2 router biên mỗi vùng sẽ chịu trách
nhiệm là các VPN gateway.
Quá trình đóng gói dữ liệu của cơ chế đường ngầm cũng khác hoàn toàn
so với cơ chế truyền tải. Giả sử PIX tại RO cần gửi syslog tới syslog server tại
CO. Hai router biên thực hiện chức năng VPN gateway. Khi đó, syslog data sẽ
được đóng gọi trong UDP rồi IP packet với địa chỉ IP của PIX và Server. Sau
đó gói IP này được đóng gói trong gói VPN packet, thêm VPN header và VPN
trailer. Tiếp đó gói VPN packet được gói lai trong gói ip thường với địa chỉ
nguồn và đích là địa chỉ của 2 VPN gateway. Khi CO router nhận được gói tin,
nó sẽ chịu trách nhiệm giải mã, bóc tách gói tin VPN và chỉ trả về cho syslog
server gói tin IP thông thường.
HÌNH 1.12 Phương thức đóng gói tunnel mode
Một số ưu điểm của cơ chế đường ngầm so với cơ chế truyền tải là:
− Cung cấp khả năng mở rộng dễ dàng. Thiết bị chịu trách nhiệm an toàn
thông tin tách biệt so với thiết bị đầu cuối.
− Linh hoạt, dễ dàng mở rộng. Dễ dàng mở rộng , thêm bớt thiết bị mà
không cần thay đổi cấu hình.
20
− Che giấu địa chỉ kết nối. Với phương thức kết nối này ngay cả khi bắt

phương án chia quá trình ra làm 2 phần: IPSEC cung cấp việc xử lý ở mức
gói, còn IKMP (Internet Key Management Protocol) chịu trách nhiệm thoả
thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đó có SKIP
(Simple Key Internet Protocol), và Photuris, IETF đã quyết định chọn IKE
(Internet Key Exchange) là chuẩn để cấu hình SA cho IPSEC. IKE tạo ra một
đường ngầm được xác thực và an toàn giữa hai hệ thống (kết nối quản trị ở
Phase 1) và sau đó thoả thuận SA cho IPSEC. Quá trình này yêu cầu hai hệ
thống xác thực lẫn nhau và thiết lập các khoá sử dụng chung.
Hai bước xác thực và trao đổi khoá sẽ tạo ra IKE SA và một đường ngầm
an toàn giữa hai hệ thống. Một phía của đường ngầm sẽ đề nghị sử dụng một
trong các tập thuật toán, phía còn lại phải chấp nhận một trong số đó hoặc loại
bỏ kết nối. Khi hai phía đã thống nhất được về các thuật toán sẽ sử dụng thì
chúng phải tạo khoá để IPSEC sử dụng với ESP, AH hoặc cả hai. IPSEC sử
dụng một khoá dùng chung khác với của IKE. Khoá dùng chung của IPSEC có
thể có được nhờ thực hiện thuật toán Diffie-Hellman một lần nữa hoặc sử
dụng lại một lần nữa khoá dùng chung có được từ trao đổi Diffie-Hellman ban
đầu (Khoá sử dụng để tạo IKE SA bằng cách băm nó với các số giả ngẫu
nhiên). Phương pháp đầu tiên có tính an toàn cao hơn nhưng tương đối
chậm. Sau khi quá trình này được hoàn tất, IPSEC SA được thiết lập.
2.2.5. Các bước xây dựng kết nối truyền tin trong IPSec
HÌNH 1.14 Năm bước hoạt động của IPSEC
Qúa trình xây dựng kết nối và truyền tin với IPSEC thường bao gồm những
bước sau:
− Một phía (VPN gateway A) khởi tạo phiên kết nối tới VPN gateway B
bằng cách gửi traffic cần bảo vệ.
− ISAKMP|IKE Phase 1: các đối tác IPSEC sẽ trao đổi, thỏa thuận về
các tham số cho phép thiết lập một kênh truyền thông quản trị an toàn để tiến
hành thỏa thuận IPSEC SA trong Phase 2.
22
− ISAKMP|IKE Phase 2: các phía thỏa thuận các thông số IPSEC SA

main mode là chỉ xác minh nhận dạng sau khi đã hình thành được
kết nối quản trị an toàn.
Bước đầu tiên mà các đối tác IPSEC cần làm trong IKE Phase 1 là thỏa
thuận các chính sách an toàn để bảo vệ kết nối quản trị. Điều này được thực
hiện thông qua việc thỏa thuận các tập chính sách IKE hay còn gọi là IKE
23